Loading AI tools
来自维基百科,自由的百科全书
憑證透明度(英語:Certificate Transparency,簡稱CT)也稱憑證透明、憑證透明化,是一個實驗性的IETF開源標準[1]和開源框架,目的是監測和審計數位憑證。透過憑證紀錄檔、監控和審計系統,憑證透明度使網站使用者和域名持有者可以辨識不當或惡意簽發的憑證,以及辨識數位憑證認證機構(CA)的行為。
此條目需要更新。 (2021年8月21日) |
此條目翻譯自其他語言維基百科,需要相關領域的編者協助校對翻譯。 |
憑證透明度的工作始於 2011 年,當時數位憑證授權單位DigiNotar受到攻擊並開始頒發惡意憑證。至2021年,公開信任的TLS憑證必須強制實現憑證透明度,但其他類型的憑證則未有相應要求。[2]
當前的數位憑證管理系統中的缺陷正使欺詐憑證導致的安全問題和隱私洩露風險變得日益明顯。
2011年,荷蘭的數位憑證機構DigiNotar在入侵者利用其基礎設施成功建立了超過500個欺詐性數位憑證後申請破產。[3]
Ben Laurie和Adam Langley構思了憑證透明度,並將其框架實現為開源專案。
數位憑證管理的問題之一是,欺詐性憑證需要很長時間才能被瀏覽器提供商發現、報告和復原。憑證透明度有助於避免駭客在未經網域持有者知情下為網域頒發憑證。
憑證透明度不需要側信道通訊來驗證憑證,這些由線上憑證狀態協定(OCSP)或Convergence等技術完成。憑證透明度也不需要信任第三方。
憑證透明度依賴於可驗證的憑證透明度紀錄檔。紀錄檔會將新的憑證添加到不斷增長的雜湊樹中。[1]:Section 3 為正確完成該行為,紀錄檔必須:
紀錄檔可以接受尚未完全生效或者已過期的憑證。
監視器是作為紀錄檔伺服器的客戶端,檢查紀錄檔以確保其行為正確。如發生不一致則表示紀錄檔沒有正確執行。紀錄檔的資料結構雜湊樹(Merkle tree)上的簽章防止紀錄檔否認不良行為。
審計器也作為紀錄檔伺服器的客戶端執行。憑證透明度審計器使用有關紀錄檔的部分資訊驗證紀錄檔及其他部分的資訊。[1]:Section 5.4
2013年3月,Google推出其首個憑證透明度紀錄檔。[4] 2013年9月,DigiCert成為首個實現憑證透明度的數位憑證認證機構。[5]
Google Chrome在2015年開始要求新頒發的擴充驗證憑證(EV)提供「憑證透明度」。[6][7]因為被發現有187個憑證在未經域名所有者知曉的情況下被頒發,賽門鐵克(Symantec)被要求自2016年6月1日起新頒發的所有憑證必須配備憑證透明度。[8][9]
2017年4月,Google將原定於2017年10月要求Chrome將要求所有SSL憑證支援憑證透明度(CT)的日期推遲至2018年4月,以給行業更多準備時間[10]
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.